Ensure only MFA enabled identities can access privileged Virtual Machine

Zakaj je to pomembno

Če lahko identitete brez večfaktorske avtentikacije dostopajo do privilegiranih virtualnih strojev, lahko napadalec, ki ogrozi veljavne poverilnice, vstopi v sistem, se premika bočno in zlorabi upravljano identiteto VM-ja za dostop do oblaknih virov ali izvajanje nepooblaščenih upravljalnih dejanj. Zahteva po MFA za te privilegirane prijave znatno zmanjša tveganje kraje poverilnic, ki vodi do bočnega premikanja in ogrožanja virov.

Kaj preverja Aether365

To preverjanje zagotavlja, da imajo samo identitete, ki uporabljajo MFA, dostop do privilegiranih virtualnih strojev. Pojavi se na nadzorni plošči Aether365 v kategoriji preverjanj Azure Virtual Machines.

Kako odpraviti težavo

1. Zagotovite, da vaš najemnik uporablja licenco Entra ID P2 za uporabo Privileged Identity Management (PIM) za nadzor dostopa.
2. Ustvarite ali določite skupino RBAC ali ABAC, ki ji bo dodeljena ustrezna vloga (npr. Virtual Machine Contributor) za virtualni stroj.
3. Konfigurirajte dodelitev vlog v Azure PIM in zahtevajte večfaktorsko avtentikacijo v nastavitvah vlog.
4. Dodelite vlogo skupini prek PIM, tako da morajo člani aktivirati vlogo z MFA, preden pridobijo privilegiran dostop do VM-ja.
5. Alternativno uporabite rešitev tretje osebe za upravljanje privilegiranega dostopa (PAM), ki zahteva MFA za prijave v VM.
6. Preglejte vse obstoječe identitete z neposrednim ali skupinskim dostopom do VM-ja in odstranite tiste, ki ne zahtevajo MFA.

Skladnost

• CIS Microsoft Azure Foundations 3.0.0 Oddelek 8.10 (Raven 2)
• EIDSCA – Zagotovite MFA za privilegiran dostop do virtualnih strojev
• CISA – Večfaktorska avtentikacija za dostop do oblaknih virov

Povezani viri

• Kaj je Privileged Identity Management?
• Zahtevajte MFA za aktivacijo vlog Azure AD v PIM
• Upravljane identitete za vire Azure